360网络安全周报第182期

安全资讯

MPlayer和VLC媒体播放器易受漏洞攻击;Python 打造的渗透测试框架;浅谈公共云安全三大认知误区;Luminosity RAT的作者被判决2.5年刑期;统计发现,美国为最大的恶意软件基础设施提供地。
在7月份,我们看到有个垃圾邮件攻击活动使用了PDF中内嵌的恶意SettingContent-ms文件来释放远程访问木马(RAT)FlawedAmmyy,该恶意软件也是Necurs僵尸网络所使用的RAT。
360代码卫士团队推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。
10月23日,安全客2018季刊—第3季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!从10月23日的11点到10月25日的18点,我们还放送出了1200+份定制好礼,赶紧下载季刊,尽情阅览吧!
2018年10月中旬,白帽汇安全研究院监测到网络上出现了多型号D-Link路由器任意文件下载漏洞。该漏洞是允许黑客在未授权的情况下,通过/uir页面远程下载任意文件。
奥巴马医改注册渠道暴露了75K用户数据;40%的企业受到勒索病毒影响,其中只有一半恢复了数据;区块链工作量证明的安全性和可扩展性;CVE-2018-18559:linux内核UAF导致条件竞争;GCC编译器引发的漏洞。
jQuery-File-Upload最近被披露出一个存在了长达三年之久的任意文件上传漏洞,该漏洞在随后发布的 v9.22.2 版本中被修复,但是在 VulnSpy 团队对代码的复查中发现了另外一个严重的命令执行漏洞。
入侵希拉里邮箱服务器的黑客将面临关押审判;WhatsApp在巴西选举中被滥用;国泰航空公司称9.4M大小的乘客信息被泄露,并已报警。
国泰航空于23日晚间发布“重要通知:信息安全事件 ”,称发现公司及全资子公司港龙航空有限公司乘客资料被窃取,包含有940万乘客的姓名、生日、电话、地址、身份证及护照号等敏感信息。
五角大楼将漏洞赏金计划扩展到包括物理系统;从WebLogic看反序列化漏洞的利用与防御;Google强制设备制造商必须进行安卓安全更新;通过侧渠道攻击暴露Facebook、XBox和其他社交网站上的用户账户。
近期360互联网安全中心分析发现,部分网站使用的jQuery代码被恶意篡改,很多站点是因为使用的CMS中的旧版本jQuery-File-Upload插件存在任意文件上传漏洞(CVE-2018-9206)被利用后插入的恶意代码导致。
10月23日,安全客2018季刊—第3季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!从10月23日的11点到10月25日的18点,我们还放送出了1200+份定制好礼,赶紧下载季刊,尽情阅览吧!
CVE-2018-14665:X.Org X服务器中验证命令行参数时出现问题,将导致任意文件覆盖,攻击者可利用这个漏洞特性实现提权(攻击者用户安装且可使用X.Org)。

安全知识

这学期上了计算机网络,但是学过了其中的浅浅知识,有点无聊,正好看到IEEE 802.11,加上最近护网杯出了一题与无线AP流量包的分析题目,赛终依旧0解。遂自行学习一波知识,从原理入手,动手实验,归纳一番。
「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「利」之一字一往无前。
orange大佬出的题目,质量很高,能学到不少东西,这里简单分析复现一下。
本文从MikroTik RouterOS与客户端的通信协议入手,辅以逆向分析,深入解读了CVE-2018-14847以及内置开发者后门的漏洞原理,最后进行完整的组合拳进阶利用,达到Get bash shell的目的。
文章为作者Hitcon结束后对Phar与Stream Wrapper造成PHP RCE的深入挖掘总结。
在今年4月,公开披露了MikroTik的一个漏洞CVE-2018-14847,同时厂商也发布了相应补丁。然而,这一漏洞在披露之后很快被黑客利用,主要用来进行加密货币的挖掘。
10月16日晚八点半,阿里安全-猎户座实验室漏洞预警捕获了oss网站一条不起眼的漏洞修复披露信息,随即对其展开了深入分析与调查。
McAfee高级威胁研究小组发现一个针对韩语用户的数据侦察类恶意软件。由于它与早期恶意软件Seasalt(海盐)的相似性,McAfee将此威胁命名为Operation Oceansalt(海洋盐,或者洋盐)。
学习一番IEEE 802.11后,从原理性角度分析一道无线流量的CTF题目。
本文是从 Kekeo 到 Rubeus 的后续,作者继续更新了 Rubeus 项目,实现了更多的 Kekeo 功能。主要介绍了虚假代理 TGT 和 基于 Kerberos 的口令更改等新功能及其原理。
双十一电商狂欢节的脚步越来越近,黑灰产也摩拳擦掌。根据威胁猎人业务情报监测平台数据显示,针对2018年双十一活动,黑灰产已经厉兵秣马,开始做准备工作。
自2018年5月以来,Proofpoint研究人员观察到使用新型Downloader sLoad的电子邮件恶意活动。sLoad是一个用来下载PowerShell的程序,其最常投递的是Ramnit银行木马,并且其中还包含值得我们关注的侦查功能。
hitcon 2018 过去了,作为一个 web 手 one-lin-php-challenge 这道题自然引起了我的很大的兴趣,后期看各路大师傅们的解题姿势,也都是之前说过的一些细小的知识,看看为什么没有利用起来。
上周出的 WebLogic 反序列漏洞,跟进分析的时候发现涉及到不少 Java 反序列化的知识,然后借这个机会把一些 Java 反序列化漏洞的利用与防御需要的知识点重新捋一遍,做了一些测试和调试后写成这份报告。文中若有错漏之处,欢迎指出。
近日,腾讯安全云鼎实验室监测到大量主机被入侵并添加了一个名为“vusr_dx$”的隐藏帐号;同时,云鼎实验室还监测到此类帐号被大量创建的同时存在对应帐号异地登录的情况。

安全活动

本次沙龙是由PWNHUB平台主办、华为终端云服务独家赞助的线下学术交流活动。沙龙围绕移动安全,通过议题分享与交流探讨的形式,为广大网络安全研究者与爱好者搭建了一个学习与沟通的平台。
瓜子安全应急响应中心(Guazi Security Response Center,简称“瓜子SRC”)是车好多集团建立的安全漏洞收集及安全应急响应平台。
我们恨不得打开对话框跟你们一个个聊,一个个问,“大爷,这次季刊您觉得如何啊?抽到的礼物还满意吗?文章觉得咋样?”
安胜“卧龙斋”网络安全演训一体化平台为2018“柏鹭杯”全国大学生网络空间安全精英赛保驾护航!
谷安全国大学生大赛,贯彻落实党的十九大和全国网信工作会议精神,为全国网络安全相关专业大学生展示水平、知识技能交流互动提供舞台,发现、聚集和培养网络安全人才,为加快网络安全人才队伍建设作出贡献。